javascript - Après avoir demandé l'interface de connexion, est-il sûr de stocker la clé secrète renvoyée par l'interface dans le cookie? Si la clé secrète du cookie est obtenue, l'interface peut être appelée à volonté?
PHP中文网
2017-05-16 13:02:05
Après avoir demandé l'interface de connexion, est-il sûr de stocker la clé secrète renvoyée par l'interface dans le cookie ? Si la clé secrète dans le cookie est obtenue, l'interface peut être appelée à volonté
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
Parlez-vous d’application mobile ? Cela ne nécessite généralement pas de session. Lors de la connexion, une valeur de jeton est renvoyée. L'application utilise ce jeton comme authentification pour d'autres interfaces. Ce jeton peut convenir d'une méthode de vérification du cryptage en front et backend.
Si vous considérez les problèmes de sécurité :
Les autres doivent d'abord savoir quand la valeur de votre jeton a été renvoyée, puis capturer le paquet. Ensuite, vous pouvez envisager d'utiliser https pour l'URL de l'interface backend, de sorte que même si d'autres capturent le paquet, rien ne puisse être capturé.
Deuxièmement, le jeton que vous renvoyez peut renvoyer un jeton crypté avec la clé privée RSA. L'application enregistre le jeton de décryptage de la clé publique, et le jeton suivant ou certains autres paramètres sensibles peuvent être cryptés avec RSA. D'autres ne peuvent pas chiffrer ou déchiffrer sans votre clé publique.
Supposons que quelqu'un d'autre décompile votre application et trouve le jeton que vous avez stocké dans le code, vous pouvez également transmettre un paramètre supplémentaire st pour vérification. En voici un simple : organisez tous vos paramètres par ordre alphabétique, transcodez, md5, obtenez une valeur. et passez-le. Après avoir accepté vos paramètres, l'arrière-plan fait la même chose pour comparer la valeur de st. Si elle est incohérente, elle est considérée comme ayant été modifiée et l'arrière-plan renvoie une invite de paramètre illégale.
Vous pouvez également définir une clé publique pour une application (ce qu'on appelle une machine, un secret), et l'arrière-plan peut mettre à jour la clé publique côté application de temps en temps. De cette façon, même si vos règles de vérification et votre clé publique RSA sont connues des autres, ceux-ci ne peuvent manipuler l'application sur ce téléphone que pour minimiser les pertes.
——————————————
Je n'ai pas remarqué que vous parliez de javascript, mais javascript peut aussi être implémenté de cette manière.
Vous pouvez imaginer que le jeton contient vos informations de connexion, votre adresse IP, votre heure de connexion, etc., ainsi qu'une série de modifications, et il a sa propre date d'expiration et ne peut plus être utilisé après cela ~ il est donc toujours très sûr
Vous pouvez vous référer à l'interface de connexion de l'applet WeChat
https://mp.weixin.qq.com/debu...